近期，安全研究人員發(fā)現了一種新的類(lèi)似震網(wǎng)病毒的惡意軟件，并將其命名為：Havex，這種惡意軟件已被用在很多針對國家基礎設施的網(wǎng)絡(luò )攻擊中。Havex病毒被發(fā)現的時(shí)間雖然不長(cháng)，但是目前已經(jīng)發(fā)現有超過(guò)8000個(gè)能源設施被感染。

    就像著(zhù)名的Stuxnet蠕蟲(chóng)病毒，Havex也是被編寫(xiě)來(lái)感染SCADA和工控系統中使用的工業(yè)控制軟件，這種惡意軟件在有效傳播之后完全有能力實(shí)現禁用水電大壩、使核電站過(guò)載、甚至有能力關(guān)閉一個(gè)地區和國家的電網(wǎng)。這個(gè)病毒的來(lái)源組織目前被定義為蜻蜓組織或活力熊，主要攻擊目標以能源行業(yè)為主。

    Havex攻擊傳播路徑

    它的攻擊手段和攻擊路徑簡(jiǎn)單來(lái)說(shuō)一共有三種。如圖1所示。 

    第一種是通過(guò)篡改供應商網(wǎng)站，使我們通過(guò)這個(gè)網(wǎng)站上下載的軟件升級包中包含惡意間諜軟件。接下來(lái)這種惡意間諜代碼就會(huì )自動(dòng)安裝到OPC客戶(hù)端，惡意間諜代碼通過(guò)OPC協(xié)議發(fā)出非法數據采集指令，OPC服務(wù)器回應數據信息，將信息加密并傳輸到C&C （命令與控制）網(wǎng)站。據不完全統計，目前能夠發(fā)現的Havex病毒用來(lái)通信的C&C服務(wù)器多達146個(gè)，并且有超過(guò)1500個(gè)IP地址正在向C&C服務(wù)器發(fā)送數據，這些數字還在持續增加中。

    第二種攻擊路徑是通過(guò)社會(huì )工程向工程人員發(fā)送包含惡意間諜代碼的釣魚(yú)郵件，當初震網(wǎng)病毒就是采用這種途徑傳播的。

    當然還有一種攻擊傳播途徑最為直接，那就是利用系統漏洞，直接將惡意代碼植入，這是針對于一些防護 能力較差的網(wǎng)絡(luò )而言。

    現在我們發(fā)現已經(jīng)有三個(gè)廠(chǎng)商的主站以這種方式被攻入，其網(wǎng)站上提供的軟件安裝包中包含了Havex。我們懷疑還會(huì )有更多類(lèi)似的情況，但是尚未確定。這三家公司都是開(kāi)發(fā)面向工業(yè)領(lǐng)域的設備和軟件，這些公司的總部分別位于德國、瑞士和比利時(shí)。其中兩個(gè)供應商為ICS系統提供遠程管理軟件，第三個(gè)供應商為開(kāi)發(fā)高精密工業(yè)攝像機及相關(guān)軟件。在中國無(wú)論是能源行業(yè)，還是軌道交通行業(yè)，都需要下載這些軟件包，也就是說(shuō)都有被病毒攻入的危險。

    Havex深度解析

    通過(guò)反向工程Havex程序，我們發(fā)現它會(huì )枚舉局域網(wǎng)中的RPC服務(wù)，并尋找可連接的資源，Havex通過(guò)調用IOPCServerList和IOPCServerList2 DCOM接口來(lái)枚舉目標機器上的OPC服務(wù)，隨后Havex可以連接到OPC服務(wù)器，通過(guò)調用IOPCBrowse DCOM接口獲取敏感信息。

    Havex的可怕性

    Havex病毒有很多值得關(guān)注的特征。第一，這是一個(gè)非常強大的職業(yè)黑客組織針對工業(yè)控制系統（SCADA）而專(zhuān)門(mén)研制的攻擊手段；第二，版本眾多無(wú)法及時(shí)有效識別（先發(fā)現的已經(jīng)擁有80多個(gè)不同版本），因為它的特征一直在不斷變化，所以我們無(wú)法實(shí)現有效的防御；第三，這種病毒針對能源行業(yè)的APT，一旦攻擊成功后果嚴重；第四，可以直接控制OPC客戶(hù)端對OPC服務(wù)器發(fā)出非法指令操作PLC和現場(chǎng)設備，而目前市場(chǎng)上流行的大多防護手段對其是束手無(wú)策的。

    Havex標志著(zhù)工控網(wǎng)絡(luò )安全已經(jīng)進(jìn)入APT2.0時(shí)代

    在我看來(lái)，2010年出現震網(wǎng)病毒標志著(zhù)工業(yè)控制網(wǎng)絡(luò )安全進(jìn)入了APT1.0時(shí)代，震網(wǎng)之后又出現了Duqu病毒、Flame病毒等，2014年，Havex浮出水面，它的攻擊手段更先進(jìn)，更隱蔽，攻擊范圍更廣闊，這標志著(zhù)工控網(wǎng)絡(luò )進(jìn)入APT2.0時(shí)代，而這些也正是APT2.0時(shí)代的病毒特征。

    工控網(wǎng)絡(luò )安全事件數量統計，如圖2所示。
 

     工控網(wǎng)絡(luò )安全事件比例統計，如圖3所示。
 

    我們應該意識到網(wǎng)絡(luò )黑客組織已經(jīng)無(wú)處不在，Havex及其背后的蜻蜓組織只是威脅工控網(wǎng)安全的黑客組織的冰山一角。

    傳統的信息安全手段無(wú)法保護工控網(wǎng)絡(luò )

    工控網(wǎng)絡(luò )的特點(diǎn)決定了基于辦公網(wǎng)和互聯(lián)網(wǎng)設計的信息安全防護手段（如防火墻、病毒查殺等）無(wú)法有效地保護工控網(wǎng)絡(luò )的安全。

    尤其是針對于A(yíng)PT1.0時(shí)代較為傳統的防護手段已經(jīng)無(wú)法防御不斷升級的攻擊。北京匡恩網(wǎng)絡(luò )科技有限責任公司（以下簡(jiǎn)稱(chēng)匡恩網(wǎng)絡(luò )）是針對于工控網(wǎng)絡(luò )安全領(lǐng)域而建立的創(chuàng )新企業(yè)，致力于為工業(yè)控制網(wǎng)絡(luò )APT2.0時(shí)代中的對抗提供有效的防御體系。

    完整的解決方案

    目前來(lái)看，在我國信息安全體系中還有很多工具、手段不完整，甚至整個(gè)產(chǎn)業(yè)鏈都是不完整的，需要從檢測工具、保護系統、安全數據庫、安全漏洞庫到安全服務(wù)整個(gè)體系的創(chuàng )新。

    匡恩網(wǎng)絡(luò )的整體解決方案，如圖4所示。
 

    匡恩網(wǎng)絡(luò )的技術(shù)體系，如圖5所示。
 

    匡恩網(wǎng)絡(luò )的解決方案特點(diǎn)，如圖6所示。
 

    匡恩網(wǎng)絡(luò )解決方案及產(chǎn)品形態(tài)主要分為以下五種。

    （1）風(fēng)險評估平臺

    風(fēng)險評估平臺是針對工控系統中設備、協(xié)議、結構等一系列單元的漏洞和風(fēng)險開(kāi)發(fā)的測試工具，通過(guò)對漏洞在被測系統中的驗證可以更好提高系統的茁壯性，如圖7所示。
 

    （2）漏洞挖掘平臺

    是一款針對工控系統研發(fā)的高端漏洞挖掘工具，用戶(hù)可以通過(guò)提供的工具箱深度挖掘出系統中存在的漏洞，可以減少零日漏洞等一系列的系統風(fēng)險。

    （3）智能監控平臺

    智能監測平臺是一款針對工控系統設計的實(shí)時(shí)告警系統，此平臺可以快速識別出系統中的非法操作、異常事件以及外部攻擊并發(fā)出告警，是一款外掛的監測平臺。

    （4）智能保護平臺

    智能保護平臺是一款針對工控系統設計的防御系統，此平臺可以快速識別出系統中的非法操作、異常事件以及外部攻擊并及時(shí)告警和阻斷非法數據包。如圖8所示。
 

    （5）數據采集保護平臺

    基于數據采集系統所用傳輸協(xié)議，數采保護平臺可以實(shí)時(shí)對采集的信息進(jìn)行深度解析，確保采集數據的完整性和安全性。如圖9所示。
 

    除此之外，匡恩網(wǎng)絡(luò )還可以提供多種服務(wù)如工控網(wǎng)絡(luò )安全培訓、工控系統風(fēng)險評估、工控設備漏洞挖掘、演示實(shí)驗系統搭建等。

    
   作者簡(jiǎn)介

    孫一桉，男，現任北京匡恩科技網(wǎng)絡(luò )有限責任公司總裁兼首席執行官，公司創(chuàng )始人。曾在國際知名的網(wǎng)絡(luò )和通信企業(yè)的核心系統開(kāi)發(fā)部門(mén)中擔任高級技術(shù)和管理職位，具有在通信和網(wǎng)絡(luò )行業(yè)近二十年的開(kāi)發(fā)和管理經(jīng)驗。成功領(lǐng)導了十幾項大型網(wǎng)絡(luò )安全領(lǐng)域的大型高科技創(chuàng )新項目。具備豐富的網(wǎng)絡(luò )安全技術(shù)和項目經(jīng)驗、科技創(chuàng )新產(chǎn)業(yè)化經(jīng)驗，以及創(chuàng )新團隊組織領(lǐng)導和創(chuàng )新企業(yè)管理的執行經(jīng)驗。